Par le

Apple vient de corriger en urgence de graves failles de sécurité sur iOS. Un logiciel espion, vendu par une entreprise de surveillance israélienne, les exploite pour transformer les iPhone en mouchards.

Inutile de chercher leur site internet, vous ne le trouverez pas. NSO Group a beau avoir le pouvoir de faire trembler Apple, la firme israélienne tient à sa discrétion. « Un fantôme absolu », disait en 2013 Omri Lavie, l’un de ses trois fondateurs.

Et pour cause, son business est la surveillance. Sa clientèle : des Etats. Ses produits : des mouchards capables d’écouter et de voir ce qui se passe sur un ordinateur ou un téléphone en demeurant indétectables. Jusqu’à maintenant.

Jeudi 25 août, Apple a appelé tous ses utilisateurs à installer une mise à jour développée en urgence pour des raisons de sécurité. Dix jours auparavant, des experts en cybersécurité alertaient l’entreprise : son système d’exploitation iOS était percé de failles jusque-là inconnues, utilisées par le produit phare de NSO Group, « Pegasus », pour pomper messages, appels, photos et contacts sur des téléphones.

Un SMS suspect envoyé à Emirati

C’est Citizen Lab, laboratoire rattaché à l’université de Toronto qui travaille de longue date sur les logiciels de surveillance, qui a remonté la piste. Dans un compte-rendu étoffé, les chercheurs expliquent avoir été contactés par Ahmed Mansoor, une figure du militantisme pro droits de l’homme aux Emirats Arabe Unis (EAU).

Déjà visé par des cyberattaques, ce dernier s’est méfié d’un même SMS reçu sur son iPhone, les 10 et 11 août derniers. Ce message promettait de révéler « de nouveaux secrets » sur la situation des détenus des prisons émiraties, et proposait à Mansoor de cliquer sur un lien pour y accéder.

En testant ce lien sur un de ses iPhone, Citizen Lab a pu observer l’attaque en direct, ce qui lui a permis de trouver plusieurs éléments (noms de domaines, mots-clés, adresse...) rattachés à l’infrastructure de NSO Group.

A en croire les chercheurs, c’était la première fois que Pegasus pouvait être disséqué en action. Jusque-là, précisent-ils, le logiciel faisait surtout l’objet de « rumeurs, de conjectures et de déclarations invérifiables ».

SMS, Gmail, Facebook... visés

Leurs découvertes sont à la hauteur de la réputation du programme. Cliquer sur le lien du SMS a provoqué l’activation d’un logiciel malveillant, qui a silencieusement transformé le téléphone en mouchard.

Sans que l’utilisateur s’en rende compte (tout juste voit-il que le navigateur plante une fois ouvert, comme cela arrive parfois), ce logiciel va exploiter trois failles jusque là non détectées par Apple – on parle de  « zero-days » car la firme visée par ces vulnérabilités doit les réparer sans délai une fois celles-ci découvertes. Il va ainsi :

  • Débloquer l’iPhone pour modifier son système hors du périmètre autorisé par Apple (on parle aussi de jailbraking, utilisé par exemple pour installer des apps non autorisées).
     
  • Modifier les apps installées avec du code malveillant, par exemple en les liant à un service qui permet d’écouter les conversations téléphoniques.
     
  • Activer le micro ou la caméra du téléphone.

L’entreprise de sécurité informatique Lookout, à qui Citizen Lab a transmis ses découvertes, écrit dans son rapport [PDF] que ce piratage peut « lire et exfiltrer les messages, appels, e-mails, identifiants, et bien plus » à partir d’apps comme iMessage, Gmail, Facetime, Facebook, Calendar, WhastApp, Viber, Skype, Telegram. La liste, précise l’entreprise, n’a rien d’exhaustif...

Lire la suite : « Pegasus », l’arme d’une firme israélienne fantôme qui fait trembler Apple